KR100561628B1 - Method for detecting abnormal traffic in network level using statistical analysis - Google Patents

Method for detecting abnormal traffic in network level using statistical analysis Download PDF

Info

Publication number
KR100561628B1
KR100561628B1 KR1020030081833A KR20030081833A KR100561628B1 KR 100561628 B1 KR100561628 B1 KR 100561628B1 KR 1020030081833 A KR1020030081833 A KR 1020030081833A KR 20030081833 A KR20030081833 A KR 20030081833A KR 100561628 B1 KR100561628 B1 KR 100561628B1
Authority
KR
South Korea
Prior art keywords
traffic
network
characteristic
traffic data
abnormal
Prior art date
Application number
KR1020030081833A
Other languages
Korean (ko)
Other versions
KR20050048019A (en
Inventor
이수형
장범환
김진오
나중찬
손승원
박치항
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020030081833A priority Critical patent/KR100561628B1/en
Priority to US10/749,502 priority patent/US20050108377A1/en
Publication of KR20050048019A publication Critical patent/KR20050048019A/en
Application granted granted Critical
Publication of KR100561628B1 publication Critical patent/KR100561628B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

1. 청구범위에 기재된 발명이 속한 기술분야1. TECHNICAL FIELD OF THE INVENTION

본 발명은, 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것임.The present invention relates to a method for detecting abnormal traffic at a network level using statistical analysis and a computer readable recording medium having recorded thereon a program for realizing the method.

2. 발명이 해결하려고 하는 기술적 과제2. The technical problem to be solved by the invention

본 발명은, 네트워크상의 각 네트워크 장비로부터 수집한 트래픽 데이터를 네트워크 수준의 전체 트래픽 데이터로 통합하여 이상 트래픽 감지에 이용되는 특성 트래픽 데이터를 추출한 후 정상 상태의 통계적 모델인 특성 트래픽 데이터 프로파일과 비교하여 단시간내에 이상 트래픽을 감지하기 위한, 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법 및 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록메체를 제공하는데 그 목적이 있음.The present invention extracts the characteristic traffic data used for abnormal traffic detection by integrating the traffic data collected from each network equipment on the network into network-level total traffic data, and then compares it with the characteristic traffic data profile which is a statistical model in a steady state for a short time. An object of the present invention is to provide an abnormal traffic detection method at the network level using statistical analysis for detecting abnormal traffic in a computer, and a computer-readable recording medium recording a program for realizing the method.

3. 발명의 해결방법의 요지3. Summary of Solution to Invention

본 발명은, 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법에 있어서, 소정의 시간 간격으로 네트워크의 각 네트워크 장비로부터 트래픽 데이터를 수집하여 네트워크 수준의 전체 트래픽 데이터로 통합하는 제 1 단계; 상기 네트워크 수준의 전체 트래픽 데이터로부터 특성 트래픽 데이터를 추출하는 제 2 단계; 상기 추출한 특성 트래픽 데이터를 정상 상태의 통계적 모델인 특성 트래픽 데이터 프로파일과 비교하여 이상 트래픽 여부를 판단하는 제 3 단계; 및 상기 판 단결과, 이상 트래픽이 아니면 상기 추출한 트래픽 특성 데이터를 이용하여 상기 특성 트래픽 데이터 프로파일을 갱신(업데이트)하고, 이상 트래픽이면 현재 발생한 트래픽의 심각도를 분석하고 상기 분석결과와 이상 트래픽에 대한 정보를 모니터링하는 제 4 단계를 포함한다.The present invention provides a method for detecting abnormal traffic at a network level using statistical analysis, comprising: a first step of collecting traffic data from each network device of a network at predetermined time intervals and integrating the traffic data into network-wide traffic data; Extracting characteristic traffic data from the total traffic data at the network level; A third step of comparing the extracted characteristic traffic data with a characteristic traffic data profile which is a statistical model in a steady state to determine whether abnormal traffic is present; And if it is not the abnormal traffic, update (update) the characteristic traffic data profile using the extracted traffic characteristic data, and if the abnormal traffic, analyze the severity of the current traffic and the information on the analysis result and the abnormal traffic. The fourth step of monitoring the.

4. 발명의 중요한 용도4. Important uses of the invention

본 발명은 네트워크 보안 시스템 등에 이용됨.The present invention is used in a network security system and the like.

이상 트래픽 감지, 특성 트래픽 데이터, 특성 트래픽 데이터 프로파일, 네트워크 수준, 통계적 분석Anomaly traffic detection, characteristic traffic data, characteristic traffic data profile, network level, statistical analysis

Description

통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법{Method for detecting abnormal traffic in network level using statistical analysis} Method for detecting abnormal traffic in network level using statistical analysis             

도 1 은 종래의 네트워크상에서 이상 트래픽 감지 방법에 대한 일실시예 설명도,1 is a diagram illustrating an exemplary traffic detection method in a conventional network;

도 2 는 본 발명에 따른 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법에 대한 일실시예 설명도,2 is a diagram illustrating an exemplary traffic detection method at a network level using statistical analysis according to the present invention;

도 3 은 본 발명에 따른 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법에 대한 일실시예 흐름도이다.3 is a flowchart illustrating a method for detecting an abnormal traffic at a network level using statistical analysis according to the present invention.

* 도면의 주요 부분에 대한 부호의 설명* Explanation of symbols for the main parts of the drawings

210 : 네트워크 장비 211 : 네트워크 보안 시스템(NSS)210: network equipment 211: network security system (NSS)

212 : 로컬 도메인212: local domain

본 발명은 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것으로, 더욱 상세하게는 네트워크의 성능을 저하시키는 사이버 공격 또는 네트워크 구성 및 운용상의 결함 등으로 인하여 발생하는 이상 트래픽을 단시간내에 감지하기 위한, 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것이다.The present invention relates to a method for detecting abnormal traffic at a network level using statistical analysis and to a computer readable recording medium recording a program for realizing the method, and more particularly to a cyber attack or a network that degrades the performance of the network. The present invention relates to a method for detecting abnormal traffic at a network level using statistical analysis for detecting abnormal traffic generated due to a defect in configuration and operation, and a computer-readable recording medium recording a program for realizing the method. will be.

일반적으로, 네트워크상에서 발생한 이상 트래픽을 감지하는 방법은 현재 수집한 트래픽량과 통계적으로 생성된 정상 상태를 나타내는 트래픽량의 비교값 또는 비교 그래프 등을 모니터링하여 관리자가 상기 모니터링된 비교값과 비교 그래프를 경험적으로 분석함으로써, 현재 네트워크상에 발생한 트래픽이 이상 트래픽인지의 여부를 판단하게 된다. In general, a method for detecting abnormal traffic generated on a network includes monitoring a comparison value or a graph of a traffic amount indicating a statistically generated normal state with the amount of traffic currently collected and the administrator to compare the monitored comparison value with a graph. By empirical analysis, it is determined whether the traffic generated on the current network is abnormal.

여기서, 이상 트래픽이란 네트워크의 성능을 저하시킬 수 있는 데이터들이 비정상적으로 증가하여 네트워크의 흐름을 방해하는 상태를 의미하며, 그 원인으로는 사이버 공격에 의한 직간접적인 영향 또는 네크워크 구성 및 운용상의 결함 또는 클라이언트들의 과다 접속 등으로 발생한다. Here, abnormal traffic refers to a state in which abnormally increased data that can degrade the network performance can interfere with the flow of the network, and can be caused by a direct or indirect effect caused by a cyber attack or a defect in network configuration and operation or a client. It is caused by excessive connection.

도 1 은 종래의 네트워크상에서 이상 트래픽 감지 방법에 대한 일실시예 설명도이다.1 is a diagram illustrating an exemplary traffic detection method in a conventional network.

도 1 에 도시된 바와 같이, 하나의 네트워크(ISP 1: Internet Service Provider 1)는 다수의 로컬 도메인(112), 타 네트워크(ISP 2), 상기 네트워크(ISP 1)와 로컬 도메인 또는 상기 네트워크(ISP 1)와 타 네트워크(ISP 2)를 연결하는 다수의 네트워크 장비(일예로 라우터)(110) 및 상기 네트워크(ISP 1)를 관리하기 위한 네트워크 관리 서버(NMS: Network Management Server)(111)를 포함한다.As shown in FIG. 1, one network (ISP 1: Internet Service Provider 1) includes a plurality of local domains 112, another network (ISP 2), the network (ISP 1) and the local domain, or the network (ISP). 1) and a plurality of network equipment (for example, router) 110 connecting the other network (ISP 2) and a network management server (NMS: Network Management Server) (111) for managing the network (ISP 1) do.

여기서, 도 1 을 참조하여 종래의 네트워크상에서 이상 트래픽 감지 방법에 대해 살펴보면, 먼저 상기 네트워크 장비(110)에는 관리 에이전트가 설치되어 있어 노드 또는 특정 도메인 또는 링크상에서 처리되는 트래픽 데이터(정보)를 수집하는 기능을 한다.Here, referring to FIG. 1, a method for detecting an abnormal traffic in a conventional network will be described. First, a management agent is installed in the network equipment 110 to collect traffic data (information) processed on a node or a specific domain or a link. Function

이후, 네트워크 관리 서버(111)는 네트워크상의 각 네트워크 장비(110)로부터 트래픽 데이터를 수집하여, 관리 콘솔을 통하여 해당 트래픽 정보를 관리자에게 보고하게 된다. Thereafter, the network management server 111 collects traffic data from each network device 110 on the network, and reports the corresponding traffic information to the manager through the management console.

이후, 과다 트래픽 발생 여부는 관리자가 네트워크 관리 서버가 보고하는 트래픽 데이터를 바탕으로 하여 과거 경험에 의해 직관적으로 판단하게 된다. Thereafter, whether or not excessive traffic occurs is determined by the administrator based on past experience based on the traffic data reported by the network management server.

이러한 종래의 네트워크상에서 이상 트래픽 감지 방법은, 수집하는 트래픽량이 대부분 특정 로컬 도메인(특정 링크 또는 특정 노드)에서 발생하는 단순 트래픽량만을 대상으로 하는 경우가 대부분이고, 관리자가 현재 발생한 트래픽이 해당 네트워크의 성능을 저하시킬 수 있는 트래픽(이상 트래픽)인지, 아닌지의 여부를 판단하기 때문에 단시간내에 정확한 판단을 할 수 없다는 문제점이 있다. In such a conventional network, anomalous traffic detection methods mostly target only simple traffic generated from a specific local domain (a specific link or a specific node), and the traffic currently generated by the administrator There is a problem in that it is not possible to make an accurate judgment in a short time because it is determined whether or not traffic (abnormal traffic) may degrade performance.

본 발명은 상기 문제점을 해결하기 위하여 제안된 것으로, 네트워크상의 각 네트워크 장비로부터 수집한 트래픽 데이터를 네트워크 수준의 전체 트래픽 데이터로 통합하여 이상 트래픽 감지에 이용되는 특성 트래픽 데이터를 추출한 후 정상 상태의 통계적 모델인 특성 트래픽 데이터 프로파일과 비교하여 단시간내에 이상 트래픽을 감지하는, 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법 및 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록메체를 제공하는데 그 목적이 있다.
본 발명의 다른 목적 및 장점들은 하기의 설명에 의해서 이해될 수 있으며, 본 발명의 실시예에 의해 보다 분명하게 알게 될 것이다. 또한, 본 발명의 목적 및 장점들은 특허 청구 범위에 나타낸 수단 및 그 조합에 의해 실현될 수 있음을 쉽게 알 수 있을 것이다.The present invention has been proposed in order to solve the above problems, by integrating the traffic data collected from each network equipment on the network into the overall traffic data of the network level, after extracting the characteristic traffic data used for abnormal traffic detection statistical model of the steady state To provide an abnormal traffic detection method at the network level using statistical analysis that detects abnormal traffic in a short time compared to the traffic characteristic traffic data profile and a computer-readable recording medium recording a program for realizing the method. There is this.
Other objects and advantages of the present invention can be understood by the following description, and will be more clearly understood by the embodiments of the present invention. In addition, it will be readily appreciated that the objects and advantages of the present invention may be realized by the means and combinations thereof indicated in the claims.

상기 목적을 달성하기 위한 본 발명의 방법은, 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법에 있어서, 소정의 시간 간격으로 네트워크의 각 네트워크 장비로부터 트래픽 데이터를 수집하여 네트워크 수준의 전체 트래픽 데이터로 통합하는 제 1 단계; 상기 네트워크 수준의 전체 트래픽 데이터로부터 특성 트래픽 데이터를 추출하는 제 2 단계; 상기 추출한 트래픽 특성 데이터를 정상 상태의 통계적 모델인 특성 트래픽 데이터 프로파일과 비교하여 이상 트래픽 여부를 판단하는 제 3 단계; 및 상기 판단결과, 이상 트래픽이 아니면 상기 추출한 트래픽 특성 데이터를 이용하여 상기 특성 트래픽 데이터 프로파일을 갱신(업데이트)하고, 이상 트래픽이면 현재 발생한 트래픽의 심각도를 분석하고 상기 분석결과와 이상 트래픽에 대한 정보를 모니터링하는 제 4 단계를 포함하는 것을 특징으로 한다.The method of the present invention for achieving the above object, in the abnormal traffic detection method at the network level using statistical analysis, by collecting the traffic data from each network equipment of the network at a predetermined time interval to the entire traffic data of the network level A first step of integrating; Extracting characteristic traffic data from the total traffic data at the network level; A third step of comparing the extracted traffic characteristic data with a characteristic traffic data profile which is a statistical model in a steady state to determine whether abnormal traffic is present; And if it is determined that the abnormal traffic is not abnormal traffic, update the characteristic traffic data profile using the extracted traffic characteristic data, and if abnormal traffic, analyze the severity of the current traffic and provide information about the analysis result and the abnormal traffic. And a fourth step of monitoring.

한편, 본 발명은, 프로세서를 구비한 이상 트래픽 감지 시스템에, 소정의 시 간 간격으로 네트워크의 각 네트워크 장비로부터 트래픽 데이터를 수집하여 네트워크 수준의 전체 트래픽 데이터로 통합하는 제 1 기능; 상기 네트워크 수준의 전체 트래픽 데이터로부터 특성 트래픽 데이터를 추출하는 제 2 기능; 상기 추출한 트래픽 특성 데이터를 정상 상태의 통계적 모델인 특성 트래픽 데이터 프로파일과 비교하여 이상 트래픽 여부를 판단하는 제 3 기능; 및 상기 판단결과, 이상 트래픽이 아니면 상기 추출한 트래픽 특성 데이터를 이용하여 상기 특성 트래픽 데이터 프로파일을 갱신(업데이트)하고, 이상 트래픽이면 현재 발생한 트래픽의 심각도를 분석하고 상기 분석결과와 이상 트래픽에 대한 정보를 모니터링하는 제 4 기능을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공한다.On the other hand, the present invention, the abnormal traffic detection system having a processor, the first function of collecting the traffic data from each network equipment of the network at a predetermined time interval and integrates the total traffic data at the network level; A second function of extracting characteristic traffic data from the total traffic data at the network level; A third function of comparing the extracted traffic characteristic data with a characteristic traffic data profile which is a statistical model in a steady state to determine whether abnormal traffic is present; And if it is determined that the abnormal traffic is not abnormal traffic, update the characteristic traffic data profile using the extracted traffic characteristic data, and if abnormal traffic, analyze the severity of the current traffic and provide information about the analysis result and the abnormal traffic. A computer readable recording medium having recorded thereon a program for realizing a fourth function of monitoring is provided.

상술한 목적, 특징 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해 질 것이며, 그에 따라 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. 또한, 본 발명을 설명함에 있어서 본 발명과 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에 그 상세한 설명을 생략하기로 한다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 일실시예를 상세히 설명하기로 한다.The above objects, features and advantages will become more apparent from the following detailed description taken in conjunction with the accompanying drawings, whereby those skilled in the art may easily implement the technical idea of the present invention. There will be. In addition, in describing the present invention, when it is determined that the detailed description of the known technology related to the present invention may unnecessarily obscure the gist of the present invention, the detailed description thereof will be omitted. Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 2 는 본 발명에 따른 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법에 대한 일실시예 설명도이다.2 is a diagram illustrating an exemplary traffic detection method at a network level using statistical analysis according to the present invention.

도 2 에 도시된 바와 같이, 이상 트래픽 감지 모듈을 장착한 네트워크 보안 시스템(NSS: Network Security System)(211)은 네트워크 장비(일예로 라우터)(210)를 통해 다수의 로컬 도메인(212) 또는 타 네크워크(ISP 2)와 연결되어 있다. 이 때, 상기 네트워크 장비(210)는 네트워크상의 로컬 도메인(링크) 또는 타 네트워크(ISP2)로부터 트래픽 데이터(정보)를 수집하는 기능을 수행한다.As shown in FIG. 2, a network security system (NSS) 211 equipped with an anomaly traffic detection module is connected to a plurality of local domains 212 or other via a network device (eg, a router) 210. It is connected to the network (ISP 2). At this time, the network device 210 collects traffic data (information) from a local domain (link) or another network (ISP2) on the network.

여기서, 도 2 를 참조하여 본 발명에 따른 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법에 대해 살펴보면, 본 발명은 네트워크 보안 시스템(211) 등에 적용되어 네트워크상의 각 네트워크 장비(210)로부터 주기적으로 트래픽 데이터를 수집하여 네트워크 수준의 전체 트래픽 데이터로 통합하고 상기 통합된 네트워크 수준의 전체 트래픽 데이터로부터 특성 트래픽 데이터를 추출한 후, 정상 상태의 통계적 모델인 특성 트래픽 데이터 프로파일과 비교하여 이상 트래픽을 감지한다. Here, referring to FIG. 2, the abnormal traffic detection method at the network level using statistical analysis according to the present invention is applied to the network security system 211 and the like and periodically from each network equipment 210 on the network. After collecting the traffic data and integrating it into the total traffic data of the network level and extracting the characteristic traffic data from the integrated traffic level of the total traffic data, abnormal traffic is detected by comparing with the characteristic traffic data profile which is a statistical model in a steady state.

이 때, 상기 네트워크 수준의 전체 트래픽 데이터에서 특성 트래픽 데이터를 추출하는 기준은, 일예로 응용 서비스의 종류에 따라 각기 다르게 할당되는 응용포트에 따라 추출하거나, 동일한 크기를 가진 패킷분포에 따라 추출하거나, 특정 목적지(destination)로 가는 트래픽의 원천지(source) 주소가 급격히 증가하는 패턴을 바탕으로 한 원천지-목적지 페어(source-destination pair)수 등에 따라 추출할 수 있다.At this time, the criterion for extracting the characteristic traffic data from the total traffic data of the network level, for example, according to the application port that is differently assigned according to the type of application service, or according to the packet distribution having the same size, The source address may be extracted according to the number of source-destination pairs based on a pattern in which a source address of a traffic destined for a specific destination increases rapidly.

또한, 트래픽 데이터 수집은 기존의 네트워크 관리 시스템에서와 같이 일반적으로 네트워크 노드상에 설치되는, 네트워크 관리 에이전트를 장착한 네트워크 장비(일예로 라우터)의 트래픽 수집 기능을 이용하여 기존 네트워크상에서 이용되는 네트워크 장비의 교체없이 트래픽 데이터를 수집한다. In addition, traffic data collection is network equipment used on an existing network by using the traffic collection function of a network device (for example, a router) equipped with a network management agent, which is generally installed on a network node as in a conventional network management system. Collect traffic data without replacement.

또한, 네트워크 보안 시스템은 타 네트워크 보안 기능을 수행할 수 있으며, 이상 트래픽 감지 측면에서 수행할 기능은 통계 분석 모듈을 탑재함으로써, 일정 주기로 트래픽 데이터를 수집하고 정상 상태의 통계적 트래픽 특성과 비교 분석하여 이상 트래픽을 감지하는 기능을 수행한다. 이 때, 현재 수집된 트래픽이 이상 트래픽으로 판단되면 현재 발생한 트래픽이 얼마나 심각한지를 분석하고, 그 결과를 데이터로 생성한다. In addition, the network security system can perform other network security functions, and the function to be performed in terms of abnormal traffic detection is equipped with a statistical analysis module, which collects traffic data at regular intervals and compares it with the statistical traffic characteristics in a normal state. It detects traffic. At this time, if it is determined that the currently collected traffic is abnormal traffic, it analyzes how severe the current traffic is, and generates the result as data.

이후, 상기 데이터는 추후 네트워크 보안 시스템의 타 보안 기능과 결합하여 관리자에게 보고용으로 사용될 수도 있고, 네트워크 보안 시스템의 보안 대응 기능과 결합하여 네트워크상에서 자동적인 대응이 이루어지도록 할 수도 있다.Thereafter, the data may be used for reporting to the administrator in combination with other security functions of the network security system later, or may be automatically combined with the security response function of the network security system.

도 3 은 본 발명에 따른 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법에 대한 일실시예 흐름도이다.3 is a flowchart illustrating a method for detecting an abnormal traffic at a network level using statistical analysis according to the present invention.

먼저, 사용자로부터 이상 트래픽이 발생했을 경우의 심각도 유의 수준, 트래픽 분석 주기, 분석 결과의 처리 방식 등의 실행 환경을 설정받는다. 물론, 데이터 베이스에는 최근까지 통계적으로 생성한 특성 트래픽 데이터 프로파일이 저장되어 있다.First, an execution environment such as a severity level of significance, a traffic analysis cycle, and an analysis result processing method is set by a user. Of course, the database stores characteristic traffic data profiles statistically generated until recently.

이후, 소정의 시간 간격으로 각 네트워크의 장비(210)로부터 트래픽 데이터를 수집하여 네트워크 수준의 전체 트래픽 데이터로 통합한다(301, 302).Thereafter, the traffic data is collected from the equipment 210 of each network at predetermined time intervals and integrated into the total traffic data at the network level (301, 302).

이후, 상기 네트워크 수준의 전체 트래픽 데이터로부터 상기 언급한 소정의 추출 기준에 따라 특성 트래픽 데이터를 추출한다(303).Thereafter, the characteristic traffic data is extracted from the total traffic data at the network level according to the above-mentioned predetermined extraction criteria (303).

이후, 상기 추출한 트래픽 특성 데이터를 정상 상태의 트래픽을 모델링하여 파라미터화한 특성 트래픽 데이터 프로파일과 비교하여 현재 트래픽이 이상 트래픽인지 정상 트래픽인지를 판단한다(304, 305).Thereafter, the extracted traffic characteristic data is compared with a parameterized characteristic traffic data profile by modeling steady state traffic to determine whether the current traffic is abnormal traffic or normal traffic (304, 305).

상기 판단결과(305), 이상 트래픽이 아니면 상기 추출한 트래픽 특성 데이터을 이용하여 상기 특성 트래픽 데이터 프로파일을 갱신(업데이트)하고 일정시간 대 기한 후 상기 "301" 과정으로 진행하여 이후의 과정을 수행한다(306). 이러한 과정은 다양한 정상 상태 트래픽을 통계적으로 데이터베이스화하는 과정으로 보다 정확한 이상 트래픽 감지를 위해 꼭 필요한 과정이라 할 수 있다.In the determination result 305, if the traffic is not abnormal, the characteristic traffic data profile is updated (updated) by using the extracted traffic characteristic data, waits for a predetermined time, and then proceeds to step “301” to perform the subsequent process (306). ). This process is a process of statistically databaseing various steady-state traffic, which is necessary for more accurate detection of abnormal traffic.

상기 판단결과(305), 이상 트래픽이면 상기 기 설정된 심각도 유의 수준에 따라 현재 발생한 트래픽의 심각도를 분석하고(307), 상기 분석결과와 이상 트래픽에 대한 정보를 모니터링한다(308). 이 때, 상기 분석결과와 이상 트래픽에 대한 정보를 이상 트래픽 처리 시스템 등으로 전달하여 효율적인 이상 트래픽 처리에 이용되도록 할 수도 있다.In the determination result 305, the abnormal traffic is analyzed according to the preset severity level of significance (307), and the information about the analysis result and the abnormal traffic is monitored (308). In this case, the analysis result and the information on the abnormal traffic may be transmitted to the abnormal traffic processing system to be used for efficient abnormal traffic processing.

이처럼 본 발명은 주기적으로 네트워크상에 발생하는 트래픽을 검사하여 이상 트래픽을 감지한다.As such, the present invention periodically detects abnormal traffic by inspecting traffic occurring on the network.

또한, 본 발명은, 네트워크 장비(210)로부터 직접 특성 트래픽 데이터를 수집하여 이상 트래픽을 감지할 수도 있다. 하지만, 이러한 방법은 네트워크 장비(210)의 부하를 가중시키는 역효과가 있을 수 있다.In addition, the present invention may detect abnormal traffic by collecting characteristic traffic data directly from the network equipment 210. However, this method may have the adverse effect of increasing the load on the network equipment 210.

상술한 바와 같은 본 발명의 방법은 프로그램으로 구현되어 컴퓨터로 읽을 수 있는 형태로 기록매체(씨디롬, 램, 롬, 플로피 디스크, 하드 디스크, 광자기 디스크 등)에 저장될 수 있다. 이러한 과정은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있으므로 더 이상 상세히 설명하지 않기로 한다.As described above, the method of the present invention may be implemented as a program and stored in a recording medium (CD-ROM, RAM, ROM, floppy disk, hard disk, magneto-optical disk, etc.) in a computer-readable form. Since this process can be easily implemented by those skilled in the art will not be described in more detail.

이상에서 설명한 본 발명은, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하므로 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니다.The present invention described above is capable of various substitutions, modifications, and changes without departing from the technical spirit of the present invention for those skilled in the art to which the present invention pertains. It is not limited by the drawings.

상기와 같은 본 발명은, 네트워크상에서 발생하는 트래픽 전체에 대해 특성 트래픽 데이터를 추출하여 정상 상태의 통계적 모델인 특성 트래픽 데이터 프로파일과 비교함으로써, 효율적 빠른 시간내에 이상 트래픽을 감지할 수 있도록 하는 효과가 있다.The present invention as described above, by extracting the characteristic traffic data for all the traffic generated on the network and compared with the characteristic traffic data profile, which is a statistical model of a steady state, there is an effect that can detect abnormal traffic in a fast and efficient time .

또한, 본 발명은, 다양한 정상 상태 트래픽을 통계적으로 데이터베이스화하는 과정을 통해 관리자의 개입없이 자동으로 보다 다양한 형태의 이상 트래픽을 감지할 수 있도록 하는 효과가 있다.In addition, the present invention, through the process of statistically database the various steady-state traffic has an effect that can automatically detect more various types of abnormal traffic without the intervention of the administrator.

또한, 본 발명은, 이상 트래픽 처리 시스템에 적용되어 네트워크의 기능이 마비되기 전에 이상 트래픽을 처리할 수 있도록 하는 효과가 있다.
In addition, the present invention is applied to the abnormal traffic processing system has the effect of being able to process the abnormal traffic before the function of the network is paralyzed.

Claims (4)

통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법에 있어서,In the abnormal traffic detection method at the network level using statistical analysis, 소정의 시간 간격으로 네트워크의 각 네트워크 장비로부터 트래픽 데이터를 수집하여 네트워크 수준의 전체 트래픽 데이터로 통합하는 제 1 단계;A first step of collecting traffic data from each network device of the network at predetermined time intervals and integrating the traffic data into network-level total traffic data; 상기 네트워크 수준의 전체 트래픽 데이터로부터 특성 트래픽 데이터를 추출하는 제 2 단계;Extracting characteristic traffic data from the total traffic data at the network level; 상기 추출한 특성 트래픽 데이터를 정상 상태의 통계적 모델인 특성 트래픽 데이터 프로파일과 비교하여 이상 트래픽 여부를 판단하는 제 3 단계; 및A third step of comparing the extracted characteristic traffic data with a characteristic traffic data profile which is a statistical model in a steady state to determine whether abnormal traffic is present; And 상기 판단결과, 이상 트래픽이 아니면 상기 추출한 트래픽 특성 데이터를 이용하여 상기 특성 트래픽 데이터 프로파일을 갱신(업데이트)하고, 이상 트래픽이면 현재 발생한 트래픽의 심각도를 분석하고 상기 분석결과와 이상 트래픽에 대한 정보를 모니터링하는 제 4 단계As a result of the determination, if the traffic is not abnormal, the characteristic traffic data profile is updated (updated) using the extracted traffic characteristic data. If the traffic is abnormal, the severity of the current traffic is analyzed and the information on the analysis result and the abnormal traffic is monitored. 4th step 를 포함하는 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법.Anomaly traffic detection method at the network level using statistical analysis including. 제 1 항에 있어서,The method of claim 1, 상기 특성 트래픽 데이터는,The characteristic traffic data is, 서비스의 종류에 따라 각기 다르게 할당되는 응용포트에 따라 추출한 특성 트래픽 데이터 또는 동일한 크기를 가진 패킷분포에 따라 추출한 특성 트래픽 데이터 또는 특정 목적지(destination)로 가는 트래픽의 원천지(source) 주소가 급격히 증가하는 패턴을 바탕으로 한 원천지-목적지 페어(source-destination pair)수에 따라 추출한 특성 트래픽 데이터인 것을 특징으로 하는 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법.Depending on the type of service, depending on the application port allocated differently, the characteristic traffic data extracted according to the same sized packet distribution or the characteristic traffic data extracted according to the packet distribution having the same size or the source address of the traffic to a specific destination rapidly increases. An abnormal traffic detection method at the network level using statistical analysis, characterized in that the characteristic traffic data extracted according to the number of source-destination pairs based on the pattern. 제 1 항 또는 제 2 항에 있어서,The method according to claim 1 or 2, 상기 심각도 분석결과와 이상 트래픽에 대한 정보를 이상 트래픽 처리 시스템으로 전달하여 효율적인 이상 트래픽 처리에 이용되도록 하는 제 5 단계A fifth step of transmitting the result of the severity analysis and the information on the abnormal traffic to the abnormal traffic processing system for efficient processing of the abnormal traffic; 를 더 포함하는 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법.Anomaly traffic detection method at the network level using statistical analysis further comprising. 프로세서를 구비한 이상 트래픽 감지 시스템에,In the abnormal traffic detection system with a processor, 소정의 시간 간격으로 네트워크의 각 네트워크 장비로부터 트래픽 데이터를 수집하여 네트워크 수준의 전체 트래픽 데이터로 통합하는 제 1 기능;A first function of collecting traffic data from each network device of the network at predetermined time intervals and integrating the traffic data into total traffic data at the network level; 상기 네트워크 수준의 전체 트래픽 데이터로부터 특성 트래픽 데이터를 추출하는 제 2 기능;A second function of extracting characteristic traffic data from the total traffic data at the network level; 상기 추출한 트래픽 특성 데이터를 정상 상태의 통계적 모델인 특성 트래픽 데이터 프로파일과 비교하여 이상 트래픽 여부를 판단하는 제 3 기능; 및A third function of comparing the extracted traffic characteristic data with a characteristic traffic data profile which is a statistical model in a steady state to determine whether abnormal traffic is present; And 상기 판단결과, 이상 트래픽이 아니면 상기 추출한 트래픽 특성 데이터를 이용하여 상기 특성 트래픽 데이터 프로파일을 갱신(업데이트)하고, 이상 트래픽이면 현재 발생한 트래픽의 심각도를 분석하고 상기 분석결과와 이상 트래픽에 대한 정보를 모니터링하는 제 4 기능As a result of the determination, if the traffic is not abnormal, the characteristic traffic data profile is updated (updated) using the extracted traffic characteristic data. If the traffic is abnormal, the severity of the current traffic is analyzed and the information on the analysis result and the abnormal traffic is monitored. 4th function to 을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.A computer-readable recording medium having recorded thereon a program for realizing this.
KR1020030081833A 2003-11-18 2003-11-18 Method for detecting abnormal traffic in network level using statistical analysis KR100561628B1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020030081833A KR100561628B1 (en) 2003-11-18 2003-11-18 Method for detecting abnormal traffic in network level using statistical analysis
US10/749,502 US20050108377A1 (en) 2003-11-18 2003-12-31 Method for detecting abnormal traffic at network level using statistical analysis

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020030081833A KR100561628B1 (en) 2003-11-18 2003-11-18 Method for detecting abnormal traffic in network level using statistical analysis

Publications (2)

Publication Number Publication Date
KR20050048019A KR20050048019A (en) 2005-05-24
KR100561628B1 true KR100561628B1 (en) 2006-03-20

Family

ID=34567806

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020030081833A KR100561628B1 (en) 2003-11-18 2003-11-18 Method for detecting abnormal traffic in network level using statistical analysis

Country Status (2)

Country Link
US (1) US20050108377A1 (en)
KR (1) KR100561628B1 (en)

Families Citing this family (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4479459B2 (en) * 2004-10-19 2010-06-09 横河電機株式会社 Packet analysis system
KR100639969B1 (en) * 2004-12-02 2006-11-01 한국전자통신연구원 Apparatus for abnormal traffic control and method thereof
KR100628328B1 (en) * 2005-03-10 2006-09-27 한국전자통신연구원 Apparatus and method of adaptive prevention on attack
US7730531B2 (en) * 2005-04-15 2010-06-01 Microsoft Corporation System and method for detection of artificially generated system load
US7908357B2 (en) * 2005-09-21 2011-03-15 Battelle Memorial Institute Methods and systems for detecting abnormal digital traffic
KR100726352B1 (en) * 2006-03-28 2007-06-08 중앙대학교 산학협력단 Analyzeing system of network traffic according to variable communication's mass and analyzeing method thereof
KR100798755B1 (en) * 2006-05-17 2008-01-29 주식회사 제이컴정보 Threats management system and method thereof
KR100793633B1 (en) * 2006-08-16 2008-01-10 전자부품연구원 Device and method of providing traffic conditioning
US20080080365A1 (en) * 2006-09-28 2008-04-03 Weeresinghe Ranjith Thomas Mah Wireless Access Point Failover System and Method
FR2932043B1 (en) * 2008-06-03 2010-07-30 Groupe Ecoles Telecomm METHOD FOR TRACEABILITY AND RESURGENCE OF PUSH-STARTED FLOWS ON COMMUNICATION NETWORKS, AND METHOD FOR TRANSMITTING INFORMATION FLOW TO SECURE DATA TRAFFIC AND ITS RECIPIENTS
WO2011113386A2 (en) * 2011-04-26 2011-09-22 华为技术有限公司 Method and apparatus for network traffic simulation
CN103164318B (en) * 2011-12-13 2016-07-20 中国银联股份有限公司 The automatic health examination method and apparatus of on-line system
MY172616A (en) * 2013-03-13 2019-12-06 Telekom Malaysia Berhad A system for analysing network traffic and a method thereof
KR101383069B1 (en) * 2013-05-27 2014-04-08 한국전자통신연구원 Apparatus and method for detecting anomalous state of network
US10560842B2 (en) 2015-01-28 2020-02-11 Verint Systems Ltd. System and method for combined network-side and off-air monitoring of wireless networks
IL238001B (en) * 2015-03-29 2020-05-31 Verint Systems Ltd System and method for identifying communication session participants based on traffic patterns
EP3131252B1 (en) * 2015-08-12 2018-09-26 NATEK Technologies GmbH Method and system for network intrusion detection
IL245299B (en) 2016-04-25 2021-05-31 Verint Systems Ltd System and method for decrypting communication exchanged on a wireless local area network
US10812348B2 (en) * 2016-07-15 2020-10-20 A10 Networks, Inc. Automatic capture of network data for a detected anomaly
CN106452868B (en) * 2016-10-12 2019-04-05 中国电子科技集团公司第三十研究所 A kind of network flow statistic implementation method for supporting various dimensions polymerization classification
IL252037B (en) 2017-04-30 2021-12-01 Verint Systems Ltd System and method for identifying relationships between users of computer applications
IL252041B (en) 2017-04-30 2020-09-30 Verint Systems Ltd System and method for tracking users of computer applications
CN107547533B (en) * 2017-08-24 2020-10-13 新华三信息安全技术有限公司 Feature rule opening method and device
JP6792532B2 (en) * 2017-09-01 2020-11-25 日本電信電話株式会社 Anomaly detection device and abnormality detection method
IL254438B (en) 2017-09-07 2021-12-01 Verint Systems Ltd System and method for decrypting communication over a umts network
IL256690B (en) 2018-01-01 2022-02-01 Cognyte Tech Israel Ltd System and method for identifying pairs of related application users
KR102150622B1 (en) * 2018-03-02 2020-10-26 주식회사 케이티 System and method for intelligent equipment abnormal symptom proactive detection
NL2020632B1 (en) * 2018-03-20 2019-09-30 Forescout Tech B V Attribute-based policies for integrity monitoring and network intrusion detection
CN108833310B (en) * 2018-06-12 2020-11-13 国网江苏省电力有限公司无锡供电分公司 Switch with artificial intelligence analysis
CN110380914A (en) * 2019-08-22 2019-10-25 北京世纪互联宽带数据中心有限公司 A kind of flux monitoring method and system
WO2021084439A1 (en) 2019-11-03 2021-05-06 Verint Systems Ltd. System and method for identifying exchanges of encrypted communication traffic
WO2021207984A1 (en) * 2020-04-15 2021-10-21 深圳市欢太科技有限公司 Traffic detection method and apparatus, server, and storage medium

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010053769A (en) * 1999-12-01 2001-07-02 이계철 Device for extracting packet network traffic and traffic characteristics using data warehousing methodology and method thereof
KR20040063494A (en) * 2003-01-08 2004-07-14 주식회사 케이티 Device for diagnosing stability of link using a feature of traffic in internet protocol network and method therof
KR20040083682A (en) * 2003-03-24 2004-10-06 학교법인 포항공과대학교 A system for monitoring multi-media service traffic and method thereof

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2337903B (en) * 1998-05-28 2000-06-07 3Com Corp Methods and apparatus for collecting storing processing and using network traffic data
US6321338B1 (en) * 1998-11-09 2001-11-20 Sri International Network surveillance
US7120934B2 (en) * 2000-03-30 2006-10-10 Ishikawa Mark M System, method and apparatus for detecting, identifying and responding to fraudulent requests on a network
US6738811B1 (en) * 2000-03-31 2004-05-18 Supermicro Computer, Inc. Method and architecture for monitoring the health of servers across data networks
JP2002281086A (en) * 2001-03-19 2002-09-27 Kddi Corp Traffic monitoring method and its system
AU2002322109A1 (en) * 2001-06-13 2002-12-23 Intruvert Networks, Inc. Method and apparatus for distributed network security
US7062553B2 (en) * 2001-12-04 2006-06-13 Trend Micro, Inc. Virus epidemic damage control system and method for network environment
NZ516346A (en) * 2001-12-21 2004-09-24 Esphion Ltd A device for evaluating traffic on a computer network to detect traffic abnormalities such as a denial of service attack
US20040205419A1 (en) * 2003-04-10 2004-10-14 Trend Micro Incorporated Multilevel virus outbreak alert based on collaborative behavior
US20040225877A1 (en) * 2003-05-09 2004-11-11 Zezhen Huang Method and system for protecting computer system from malicious software operation

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010053769A (en) * 1999-12-01 2001-07-02 이계철 Device for extracting packet network traffic and traffic characteristics using data warehousing methodology and method thereof
KR20040063494A (en) * 2003-01-08 2004-07-14 주식회사 케이티 Device for diagnosing stability of link using a feature of traffic in internet protocol network and method therof
KR20040083682A (en) * 2003-03-24 2004-10-06 학교법인 포항공과대학교 A system for monitoring multi-media service traffic and method thereof

Also Published As

Publication number Publication date
US20050108377A1 (en) 2005-05-19
KR20050048019A (en) 2005-05-24

Similar Documents

Publication Publication Date Title
KR100561628B1 (en) Method for detecting abnormal traffic in network level using statistical analysis
US11805143B2 (en) Method and system for confident anomaly detection in computer network traffic
US9794272B2 (en) Method and apparatus for monitoring malicious traffic in communication networks
US8001601B2 (en) Method and apparatus for large-scale automated distributed denial of service attack detection
KR100617310B1 (en) Apparatus for detecting abnormality of traffic in network and method thereof
US7804787B2 (en) Methods and apparatus for analyzing and management of application traffic on networks
KR100748246B1 (en) Multi-step integrated security monitoring system and method using intrusion detection system log collection engine and traffic statistic generation engine
JP2010511359A (en) Method and apparatus for network anomaly detection
KR20080066653A (en) Method and apparatus for whole-network anomaly diagnosis and methods to detect and classify network anomalies using traffic feature distributions
EP3138008B1 (en) Method and system for confident anomaly detection in computer network traffic
CN110191004B (en) Port detection method and system
KR101336458B1 (en) System for Anomaly Detection of DNS Sever with Real Time in Internet and Method thereof
CN115001877A (en) Big data based information security operation and maintenance management system and method
CN102104606B (en) Worm detection method of intranet host
KR20190047809A (en) Ict equipment management system and method there of
Proença et al. Anomaly detection for network servers using digital signature of network segment
KR101469283B1 (en) The enterprise network analysis system and its method
KR101351660B1 (en) Traffic perception apparatus and method using integral calculus
CN110572381A (en) intelligent learning system and method applied to electric power safety protection device
JP3782319B2 (en) Network analyzer
Kim et al. Network traffic anomaly detection based on ratio and volume analysis
KR20110001674A (en) Method for determining abnormality of traffic
KR20090072436A (en) Internet traffic analysis processing system
CN107968721B (en) Method for actively releasing server, network management and control system and managed and controlled terminal
KR20090038123A (en) System and method for network management, storage medium recording that metho program

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20100226

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee